В 90ых годах в США стало легальным использование end-to-end шифрования с высокой устойчивостью ко взломам. Окееей.
Человечество получило возможность иметь секреты в интернете. Не знаю как вы, но когда я с подружками обсуждаю какие лучше купить трусики, я говорю шёпотом. Меня не волнует как будет использоваться эта информация кем-либо, меня волнует чтобы это кем-либо вообще не было участником нашего разговора.
Шёпот - корень моей сегодняшней статьи, мы поговорим о Open Whisper systems и их последней разработке - Signal.
Все началось пару дней назад, когда я задумалась о протоколе XMPP в целом. Нет, друзья, Jabber с OTR не умрут еще пару лет, пока квантовые компьютеры не станут на вооружение властей. С одной стороны, выйдет новый протокол и для XMPP, но я считаю что нет.
Jabber имеет довольно скудный функционал и казалось бы да, через него можно писать, ставить смайлики... сомневаюсь что кто-то использует его для передачи файлов. Вы скажете, хочешь шифрованные звонки ставь ZRTP, файлы передавай через непонятные файлообменники, шифруй 7z/rar архивы, записки/почта - используй PGP. Слишком. Много. Xmpp, IRC, DNS, SMTP остались в 90ых, своеобразная петля времени, нам нужно идти дальше, повышать продуктивность действий.
Я не буду долго танцевать вокруг, давайте перейдем к обзору.
Signal - новый, пока не слишком популярный E2EE (end-to-end encryption) мессенджер, проще говоря убийственное приложение ребятки. Напоминает мной нелюбимый Whatsapp (прим. Whatsapp с недавнего времени перешли на протоколы Signal, но их приложение так и осталось с закрытым исходным кодом) и я считаю что за мессенджерами будущее, это как соцсети которые создаются из ваших телефонных книг - вы выбираете что отправить и кому, вас не принуждают использовать свое реальное имя (как ВК или facebook, которые успешно продают данные пользователей), использовать свой телефон, вас могут заблокировать те кто не желает читать ваши сообщения, но никто не может вас ограничить от использования Signal в целом и навязывать что говорить хорошо, а что плохо. Говорите, пишите, обменивайтесь файлами. И не думайте о том что кто-то кроме вас и вашего Пудинга знают что вы завтра учудите... конечно при условии что вы самостоятельно решаете что будет завтра X).
Преимущества перед Jabber:
1. Более стойкий к дешифрации протокол с открытым исходным кодом на базе OTR. Signal использует протоколы Curve25519, AES-256, HMAC-SHA256. Ключи хранятся под дополнительным слоем шифрования и находятся лишь у вас на устройстве.
2. Самоудаляемые сообщения. Следов не останется ни на серверах, ни у вас, ни у вашего собеседника.
3. Надёжный протокол шифрования звонков. При каждом звонке вы видите два слова, для проверки шифрования вам достаточно назвать одно из двух слов, а собеседнику второе, если разговор перехватывают слова будут разными.
4. Полное шифрование групповых разговоров, так же поддерживаются самоудаляемые сообщения.
5. Удобный шифрованный обмен файлами.
6. Безопасная синхронизация переписок на пк и телефоне.
7. Когда вы используете OTR нужно чтобы вы и ваш собеседник находились в сети, иначе сообщение не будет доставлено. В signal нет такой необходимости.
Преимущества перед Whatsapp, Telegram с secret chats и Wickr:
1. Два слова - open source (к телеграм не относится). Открытый исходный код самого приложения, серверов компании https://github.com/signalapp/Signal-Server и предложенных ею протоколов шифрования. Whatsapp и Wickr не могут такого предложить, поэтому все это шифрование в их приложениях может быть фиктивным. Можно понять когда производители видеокарт не хотят открывать код, но мессенджер? Что у них там за супер-крипто-нано-милитари технологии которые уничтожат мир в случае их открытия? Ну не знаююю. Исходный код Signal можно переписать и использовать единый сервер from russian with love.
2. Легко ставится на PC под управлением Windows, MacOS, Linux + опять же синхронизация переписок. У телеграм пока что проблемы с desktop приложением да и звонков там нет. Signal же хоть и требует chrome для установки на desktop клиента, но его можно заменить тем же SRWare Iron или Chromium которые предлагают нам open source <3.
О шифровании.
Любая ваша информация, файлы, контакты - передаются на сервера signal в зашифрованом виде, затем отправляются собеседнику. Это позволяет производить обмен зашифрованными данными когда один из участников переписки находятся не в сети - сообщение шифруется на вашем устройстве, затем в зашифрованном виде передается на сервера компании и когда собеседник появляется онлайн - сервера передают зашифрованный пакет данных собеседнику, который в свою очередь расшифровывает сообщение.
К слову, в основу протокола шифрования Signal брался именно OTR. Почему не PGP? Pretty good privacy? Maybe, but just for few years... В PGP ключи постоянные, негодяи могут хранить ваши зашифрованные сообщения годами, правда в один прекрасный день получив ваш ключ шифрования все переписки будут прочтены, как старые так и новые. Поэтому PGP больше используют в асинхронных сообщениях - записках, эл. письмах. OTR действует по принципу эфемерного обмена ключами для каждой сессии, поэтому такой проблемы нет - не расшифровали сейчас, давай до свидания. Разработчики Signal пошли еще дальше, сессия одной переписки может быть чертовски длинной и хранить много информации, поэтому в Signal новый ключ используется для каждого сообщения. Это не единственное преимущество протокола Signal перед OTR, подробнее вы можете ознакомится на сайте разработчика https://signal.org/blog/advanced-ratcheting/.
Может ли с разработчиками Signal произойти история подобной Lavabit или Truecrypt? Листы национальной безопасности это не магия (NSLs). Этот вопрос обсуждался на DEF CON 24 https://www.youtube.com/watch?v=YN_qVqgRlx4. Да и к слову, вы самостоятельно можете проверить или бинарный код с Google play тот же что вы получите из исходного кода на Github (прим. сайт где опубликован исходный код приложения), как это сделать - вот https://signal.org/blog/reproducible-android
Signal для телефона просит Google Apps? Да, это так. Они используются лишь для доставки уведомлений в среде Android, Если вы ужасаетесь от слова Google, можете установить microG https://microg.org на ваш Cyanogenmod (прим. прошивка на базе Android с полностью открытыми исходниками), но я была участницей дискуссии на эту тему и был сделан вывод, что заменяя Google apps сторонними приложениями, вы открываете свое устройство в целом для массы других уязвимостей. Gapps это не вирус, настроив приложение должным образом оно не будет собирать о вас информацию.
Ах да, вот и запросик был от властей к компании Open Whisper Systems https://signal.org/bigbrother/eastern-virginia-grand-jury/. Они предоставили суду все что у них было - 2 номера телефона и ничего больше, потому что ничего больше не записывалось в целом. Левая сим карта решает этот вопрос.
Для регистрации в Signal вам нужно принять звонок, смс активация со стороннего телефона не пройдет. Так же не обязательно использовать свой телефон для регистрации да и телефон вообще - можете установить виртуалку Genymotion и создать себе Android телефон. Правда с таким подходом будет несколько затруднительно активировать приложение на компьютере, но я смогла (прим. для синхронизации с ПК, при активации используется камера телефона, в Genymotion вы можете использовать вэб-камеру вашего ПК).
Единственное чего не хватает Signal так это опции для регистрации по старому доброму логину и паролю.
Статья написана с целью подтолкнуть наше сообщество к переходу на signal. Работать станет удобнее, безопаснее, продуктивнее.
Да и последнее - Эдвард Сноуден рекомендует Signal https://twitter.com/snowden/status/661313394906161152?lang=en.
Человечество получило возможность иметь секреты в интернете. Не знаю как вы, но когда я с подружками обсуждаю какие лучше купить трусики, я говорю шёпотом. Меня не волнует как будет использоваться эта информация кем-либо, меня волнует чтобы это кем-либо вообще не было участником нашего разговора.
Шёпот - корень моей сегодняшней статьи, мы поговорим о Open Whisper systems и их последней разработке - Signal.
Все началось пару дней назад, когда я задумалась о протоколе XMPP в целом. Нет, друзья, Jabber с OTR не умрут еще пару лет, пока квантовые компьютеры не станут на вооружение властей. С одной стороны, выйдет новый протокол и для XMPP, но я считаю что нет.
Jabber имеет довольно скудный функционал и казалось бы да, через него можно писать, ставить смайлики... сомневаюсь что кто-то использует его для передачи файлов. Вы скажете, хочешь шифрованные звонки ставь ZRTP, файлы передавай через непонятные файлообменники, шифруй 7z/rar архивы, записки/почта - используй PGP. Слишком. Много. Xmpp, IRC, DNS, SMTP остались в 90ых, своеобразная петля времени, нам нужно идти дальше, повышать продуктивность действий.
Я не буду долго танцевать вокруг, давайте перейдем к обзору.
Signal - новый, пока не слишком популярный E2EE (end-to-end encryption) мессенджер, проще говоря убийственное приложение ребятки. Напоминает мной нелюбимый Whatsapp (прим. Whatsapp с недавнего времени перешли на протоколы Signal, но их приложение так и осталось с закрытым исходным кодом) и я считаю что за мессенджерами будущее, это как соцсети которые создаются из ваших телефонных книг - вы выбираете что отправить и кому, вас не принуждают использовать свое реальное имя (как ВК или facebook, которые успешно продают данные пользователей), использовать свой телефон, вас могут заблокировать те кто не желает читать ваши сообщения, но никто не может вас ограничить от использования Signal в целом и навязывать что говорить хорошо, а что плохо. Говорите, пишите, обменивайтесь файлами. И не думайте о том что кто-то кроме вас и вашего Пудинга знают что вы завтра учудите... конечно при условии что вы самостоятельно решаете что будет завтра X).
Преимущества перед Jabber:
1. Более стойкий к дешифрации протокол с открытым исходным кодом на базе OTR. Signal использует протоколы Curve25519, AES-256, HMAC-SHA256. Ключи хранятся под дополнительным слоем шифрования и находятся лишь у вас на устройстве.
2. Самоудаляемые сообщения. Следов не останется ни на серверах, ни у вас, ни у вашего собеседника.
3. Надёжный протокол шифрования звонков. При каждом звонке вы видите два слова, для проверки шифрования вам достаточно назвать одно из двух слов, а собеседнику второе, если разговор перехватывают слова будут разными.
4. Полное шифрование групповых разговоров, так же поддерживаются самоудаляемые сообщения.
5. Удобный шифрованный обмен файлами.
6. Безопасная синхронизация переписок на пк и телефоне.
7. Когда вы используете OTR нужно чтобы вы и ваш собеседник находились в сети, иначе сообщение не будет доставлено. В signal нет такой необходимости.
Преимущества перед Whatsapp, Telegram с secret chats и Wickr:
1. Два слова - open source (к телеграм не относится). Открытый исходный код самого приложения, серверов компании https://github.com/signalapp/Signal-Server и предложенных ею протоколов шифрования. Whatsapp и Wickr не могут такого предложить, поэтому все это шифрование в их приложениях может быть фиктивным. Можно понять когда производители видеокарт не хотят открывать код, но мессенджер? Что у них там за супер-крипто-нано-милитари технологии которые уничтожат мир в случае их открытия? Ну не знаююю. Исходный код Signal можно переписать и использовать единый сервер from russian with love.
2. Легко ставится на PC под управлением Windows, MacOS, Linux + опять же синхронизация переписок. У телеграм пока что проблемы с desktop приложением да и звонков там нет. Signal же хоть и требует chrome для установки на desktop клиента, но его можно заменить тем же SRWare Iron или Chromium которые предлагают нам open source <3.
О шифровании.
Любая ваша информация, файлы, контакты - передаются на сервера signal в зашифрованом виде, затем отправляются собеседнику. Это позволяет производить обмен зашифрованными данными когда один из участников переписки находятся не в сети - сообщение шифруется на вашем устройстве, затем в зашифрованном виде передается на сервера компании и когда собеседник появляется онлайн - сервера передают зашифрованный пакет данных собеседнику, который в свою очередь расшифровывает сообщение.
К слову, в основу протокола шифрования Signal брался именно OTR. Почему не PGP? Pretty good privacy? Maybe, but just for few years... В PGP ключи постоянные, негодяи могут хранить ваши зашифрованные сообщения годами, правда в один прекрасный день получив ваш ключ шифрования все переписки будут прочтены, как старые так и новые. Поэтому PGP больше используют в асинхронных сообщениях - записках, эл. письмах. OTR действует по принципу эфемерного обмена ключами для каждой сессии, поэтому такой проблемы нет - не расшифровали сейчас, давай до свидания. Разработчики Signal пошли еще дальше, сессия одной переписки может быть чертовски длинной и хранить много информации, поэтому в Signal новый ключ используется для каждого сообщения. Это не единственное преимущество протокола Signal перед OTR, подробнее вы можете ознакомится на сайте разработчика https://signal.org/blog/advanced-ratcheting/.
Может ли с разработчиками Signal произойти история подобной Lavabit или Truecrypt? Листы национальной безопасности это не магия (NSLs). Этот вопрос обсуждался на DEF CON 24 https://www.youtube.com/watch?v=YN_qVqgRlx4. Да и к слову, вы самостоятельно можете проверить или бинарный код с Google play тот же что вы получите из исходного кода на Github (прим. сайт где опубликован исходный код приложения), как это сделать - вот https://signal.org/blog/reproducible-android
Signal для телефона просит Google Apps? Да, это так. Они используются лишь для доставки уведомлений в среде Android, Если вы ужасаетесь от слова Google, можете установить microG https://microg.org на ваш Cyanogenmod (прим. прошивка на базе Android с полностью открытыми исходниками), но я была участницей дискуссии на эту тему и был сделан вывод, что заменяя Google apps сторонними приложениями, вы открываете свое устройство в целом для массы других уязвимостей. Gapps это не вирус, настроив приложение должным образом оно не будет собирать о вас информацию.
Ах да, вот и запросик был от властей к компании Open Whisper Systems https://signal.org/bigbrother/eastern-virginia-grand-jury/. Они предоставили суду все что у них было - 2 номера телефона и ничего больше, потому что ничего больше не записывалось в целом. Левая сим карта решает этот вопрос.
Для регистрации в Signal вам нужно принять звонок, смс активация со стороннего телефона не пройдет. Так же не обязательно использовать свой телефон для регистрации да и телефон вообще - можете установить виртуалку Genymotion и создать себе Android телефон. Правда с таким подходом будет несколько затруднительно активировать приложение на компьютере, но я смогла (прим. для синхронизации с ПК, при активации используется камера телефона, в Genymotion вы можете использовать вэб-камеру вашего ПК).
Единственное чего не хватает Signal так это опции для регистрации по старому доброму логину и паролю.
Статья написана с целью подтолкнуть наше сообщество к переходу на signal. Работать станет удобнее, безопаснее, продуктивнее.
Да и последнее - Эдвард Сноуден рекомендует Signal https://twitter.com/snowden/status/661313394906161152?lang=en.
